PT-2024-9090 · Microsoft+1 · Windows+2
Chris Elliot
+2
·
Publicado
2024-11-01
·
Atualizado
2025-07-30
·
CVE-2024-21703
CVSS v3.1
6.4
Média
| Vetor | AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Confluence Data Center e Server versão 8.8.1
Confluence Data Center e Server versões anteriores à 7.19.18
Confluence Data Center e Server versões anteriores à 8.5.5
Confluence Data Center e Server versões anteriores à 8.7.2
Confluence Data Center e Server versões anteriores à 8.8.0
Descrição:
O problema está relacionado a uma vulnerabilidade de configuração de segurança incorreta que permite que um invasor autenticado no host Windows leia informações confidenciais sobre a configuração do Confluence Data Center. Isso tem um alto impacto na confidencialidade, integridade e disponibilidade, sem que seja necessária a interação do usuário. A vulnerabilidade está associada à atribuição incorreta de permissões para um recurso crítico, o que pode ser explorado para elevar privilégios e obter acesso não autorizado a informações protegidas.
Recomendações:
Para o Confluence Data Center e Server 7.19: atualize para uma versão igual ou superior à 7.19.18
Para o Confluence Data Center e Server 8.5: atualize para uma versão igual ou superior à 8.5.5
Para Confluence Data Center e Server 8.7: atualize para uma versão igual ou superior a 8.7.2
Para Confluence Data Center e Server 8.8: atualize para uma versão igual ou superior a 8.8.0
Como solução alternativa temporária, considere restringir o acesso ao arquivo confluence-cfg.xml para minimizar o risco de exploração.
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Confluence
Confluence Data Center/Server
Windows